TrickBot集团将其重点转移到“系统性”针对乌克兰

自2022年2月底战争爆发以来，TrickBot恶意软件的运营商一直在系统性地将目标对准乌克兰，这被称为“前所未有”的转折。

据信，该组织已策划了至少六次针对符合俄罗斯国家利益的目标的网络钓鱼活动，这些电子邮件充当了提供IcedID、CobaltStrike、AnchorMail和Meterpeter等恶意软件的诱饵。

以ITG23、Gold Blackburn和Wizard Spider的名字追踪这一有经济动机的网络犯罪团伙，以开发TrickBot banking特洛伊木马而闻名，并于今年早些时候被纳入现已停产的Conti勒索软件卡特尔。

但仅仅几周后，与该组织有关联的演员们重新露面，推出了一款改进版的主播后门，名为AnchorMail，它使用SMTPS和IMAP协议进行指挥和控制通信。

IBM Security X-Force分析师Ole Villadsen在一份技术报告中表示：“ITG23针对乌克兰的活动引人注目，因为这一活动与历史先例有很大不同，而且这些活动似乎是专门针对乌克兰的，有一些有效载荷表明目标选择的程度更高”。

活动中的一个显著变化涉及使用以前从未见过的Microsoft Excel下载程序，以及部署CobaltStrike、Meterpeter和AnchorMail作为第一阶段有效负载。据说袭击事件始于2022年4月中旬。

有趣的是，这名威胁行为人在其电子邮件诡计中利用核战争的幽灵来传播AnchorMail植入，两个月后被追踪为APT28的俄罗斯民族国家组织将重复这种战术，在乌克兰传播窃取数据的恶意软件。

此外，作为2022年5月战役的一部分部署的钴打击样本使用了一种新的密码器，名为Forest，以逃避检测，后者还与大黄蜂恶意软件一起使用，这为装载机正由TrickBot团伙操作的理论提供了依据。

维拉森指出：“今年，在讲俄语的网络犯罪生态系统中，意识形态分歧和效忠越来越明显”。“这些活动提供了证据，表明乌克兰是俄罗斯著名网络犯罪集团的目标”。

这一事态发展之际，乌克兰媒体已成为钓鱼信息的目标，其中包含恶意软件文件，利用Follina漏洞将DarkCrystal RAT投放到受损系统上。

乌克兰计算机应急响应小组（CERT-UA）还警告称，一个名为UAC-0056的组织进行了入侵，该组织使用以人员为主题的诱饵打击国家组织，以向东道主投掷钴打击信标。

该机构上个月进一步指出，一名代号为Tonto团队（又名Karma Panda）的中国演员使用Royal Road RTF武器，用Bisonal恶意软件瞄准俄罗斯的科技企业和国家机构。

SentinelOne将这些攻击归因于高级持续威胁组织（APT），他说，这些发现表明中国情报机构“继续努力”打击范围广泛的与俄罗斯有联系的组织。